|
|
http://softbbs.pconline.com.cn/10273556.html
$ `7 A W9 v7 N! @4 N1 @9 a- o# Z, a8 s( c, b; w& W, K3 b3 W
6 R* \4 T9 `2 j% n+ R, k绿X分析报告完整**版!为您解析绿X工作过程
. ^$ y( Y' t1 |( c6 R软件版本为3.175 h$ c3 D! H% g
9 f& E$ j. y1 J6 l 绿X采用打包式安装程序,安装程序的EXE文件被执行之后,会在temp目录下随机生成临时文件夹,释放安装文件。. \. s7 q; ]/ n) L, V
# Y! a' @9 p3 A" z- Show quoted text -4 O9 A. z8 z% a) e, x
然后调用该目录下setup.exe开始安装。
" j9 W) x- Q9 M! M" |9 U U- u绿X安装在system32目录下,安装共写入包括windows、system32、inf、drivrs等系统关键目录在内的12个目录110个文件,文件列表如下:# ^. B- h; z7 P P6 \6 {
,1,system32RunAfterSetup.exe,9,0,32
5 w5 p# V( E+ H. v& S# r* D( ~,2,system32sys.dat,9,0,32
5 C! F: o" Y2 M: i,3,system32poppo.dll,1,0,32% r) ?( n) y3 {$ n; S: ]
,4,system32sysEx.dat,1,0,32( d! p5 R& x3 u$ S
,5,system32appface.dll,1,0,32
6 I# k& E) f# K8 ~3 t& k2 R. h+ d,6,system32xabout.dat,1,0,32
' \$ [/ H/ ]4 h, d: R ],7,system32x100.dat,1,0,32- b$ G/ I6 c& T8 k
,8,system32x200.dat,1,0,324 H F' @% a/ P# y; V
,9,system32x300.dat,1,0,322 z4 D3 R$ R. N3 ?( o0 W
,10,system32x400.dat,1,0,328 z; @3 w! `$ J; u
,11,system32xnet2_lang.ini,9,0,32) K, B9 _$ `7 H( X3 v- M
,12,system32bnrfil.dat,1,0,32
0 i, G4 F6 P% t,13,system32bsnlst.dat,1,0,32" V: C0 [; F3 O* `; X1 o3 M! \
,14,system32csnews.dat,1,0,324 a$ {( o3 z, h- u F4 h# m
,15,system32gdwfil.dat,1,0,32' B. q3 R/ J# o! c
,16,system32TrustUrl.dat,1,0,32
" e: ^3 w/ q1 g: @3 K,17,system32wfileu.dat,1,0,32
) [+ Q: i1 u( s1 y,18,system32xwordh.dat,1,0,32, H% E, r6 l. h3 {8 p+ [8 n. _6 J
,19,system32xwordl.dat,1,0,325 K2 o" ?; O- }7 {3 o$ }8 Q9 y! t
,20,system32xwordm.dat,1,0,32
7 ^+ w6 \- H8 J,21,system32auctfil.dat,1,0,32
6 p$ @1 i. T Y: c,22,system32chtfil.dat,1,0,32
- K r" G8 V% Q6 Z+ h,23,system32cultfil.dat,1,0,32
y/ D* |3 x) K0 R- F: B- `3 E,24,system32entfil.dat,1,0,32
1 M% R0 @. n* r& Y3 ]2 M/ T,25,system32finfil.dat,1,0,324 F; G' j5 k3 O& Q( F
,26,system32fmfil.dat,1,0,32
# r7 s) p6 S- E! Q% |. T,27,system32fshrfil.dat,1,0,32# b6 N4 V8 e! D& P9 f$ w
,28,system32gblfil.dat,1,0,32
& @) h& X" I/ G# j. ?1 p,29,system32gnfil.dat,1,0,32
K( o5 O5 a; n! ^* X; D,30,system32hatfil.dat,1,0,32* n" S0 ?. v6 E- k7 {5 G/ |9 F
,31,system32iawfil.dat,1,0,32
, Q o, Z) g3 b# I,32,system32imgfil.dat,1,0,32$ S5 u1 ?) }! p+ ~+ E: \
,33,system32jbfil.dat,1,0,32
! I1 S" g+ t7 g( D2 \3 v,34,system32lgwfil.dat,1,0,328 I( D6 c- B$ i" k1 W4 L
,35,system32movfil.dat,1,0,32& l& i$ L# [+ u# c
,36,system32mp3fil.dat,1,0,32) C. a2 |, ^9 Y6 D" q5 K) ]
,37,system32nvgamfil.dat,1,0,32) H0 @; N" x$ p# m
,38,system32perfil.dat,1,0,325 n" T5 o% V! k8 F* a/ P
,39,system32picsfil.dat,1,0,321 @) y. b% J0 {
,40,system32pkmon.dat,1,0,32! U# B J- D/ s- Y
,41,system32popfil.dat,1,0,32( a( @% U+ f; I [& l9 u# S
,42,system32psyfil.dat,1,0,32
j9 w4 `* e0 k* x0 j+ J,43,system32sporfil.dat,1,0,32
# m5 k% V H; c( r2 m,44,system32swfil.dat,1,0,32! i) W @% c: @
,45,system32tafil.dat,1,0,32
9 Y6 V# {* \. T& t,46,system32tapfil.dat,1,0,32
3 s. k+ \6 a5 x/ E+ }! p,47,system32vgamfil.dat,1,0,32
; h% r! q4 j: ~, k' i3 O,48,system32viofil.dat,1,0,321 ]$ g0 \& v8 ?9 g+ l, e4 C" Z
,49,system32wrestfil.dat,1,0,328 Z4 P" T I. a' |1 {( V
,50,system32wzfil.dat,1,0,32
" K& }) g7 m: i1 P: }( f) M,51,system32adwfil.dat,1,0,32- t5 P9 }& i) B; E6 h: E
,52,system321.urf,1,0,32
: t; v( [, {" J3 L6 c: s,53,system322.urf,1,0,32
* {6 q4 p* |' p,54,system323.urf,1,0,32
) `+ _1 j) |. Y1 k/ f( v% },55,system324.urf,1,0,327 q* X7 q, Y2 b: B, i! u
,56,system325.urf,1,0,32
" [ F1 ]( U" g7 a,57,system326.urf,9,0,32# D4 {4 M; L2 u7 g1 m: Y
,58,system327.urf,9,0,32! U) n1 q3 a: D& D. r
,59,system32goldlock.exe,9,0,32. ^. a& M9 f( s
,60,system32filtport.dat,9,0,32' P9 p+ m. u$ I* E
,61,system32x100.jpg,9,0,324 f: C& w L: t5 ^, g3 @
,62,system32x200.jpg,9,0,32
$ ~7 u$ `8 f8 l6 U. V6 u7 W,63,system32x300.jpg,9,0,32
% `9 m, O( B- V+ ^$ L,64,system32x400.jpg,9,0,326 ~) y5 J% ?3 a" Z
,65,system32x500.jpg,9,0,32; m0 L1 f$ y) j5 f& t/ m: j+ l4 I
,66,system32win2kspi.reg,9,0,32
1 o0 N. r! `; ]1 ^1 },67,system32winxpSpi.reg,9,0,32
- L$ O% L; Y4 k5 B7 d' o,68,system32Win98Spi.reg,9,0,32
1 z5 J; y; a& ~0 T2 f' b0 u,69,system32adwapp.dat,9,0,32
9 [9 x6 T7 c' \# {,70,system32XFimage.xml,9,0,32' u( H, t" E: l" m
,71,system32FImage.dll,9,0,32
5 a/ r+ @+ A! m,72,system32Xtool.dll,9,0,32
/ \& H" c' {9 u( u% M& q,73,system32Xcv.dll,9,0,325 h( n/ o8 ]& e" f# J; e1 p
,74,system32xcore.dll,9,0,32
9 d2 }) y5 \3 {5 D- x5 ^ n,75,system32x600.jpg,9,0,328 U1 ~/ ]/ a J4 ]
,76,system32wfile.dat,9,0,32
9 V; F% Z9 {+ _/ Y,77,system32winvista.reg,9,0,32& U0 u9 d: \+ w( r. W' c5 t9 c0 H
,78,system32IPGate.dll,9,0,325 h) d4 m' J2 j* N
,79,system32gn.exe,29,0,321 ^ z: H3 K. d( l$ z
,80,system32looklog.exe,29,0,32( }0 b( u+ i4 S
,81,system32lookpic.exe,29,0,32/ f ?6 K/ t1 |' a! s7 J
,82,system32xconfigs.dat,29,0,32" v( f8 m* j% k7 Q ?
,83,system32XNet2.exe,29,0,32
( H k- c6 |' `2 y& v,84,system32XDaemon.exe,29,0,32
* G. {8 F- Z% w' h" N,85,system32kwdata.exe,29,0,32
7 ? ^. M$ d5 c" [( b5 p7 r0 f# Q,86,system32Update.exe,29,0,323 s" _: b3 r( R5 n7 k& @
,87,windowslogdesktop.ini,1,0,32% r" w) `8 {( W6 i% G2 V; M5 D; `
,87,windowssnapdesktop.ini,1,0,32 z2 |, ]5 n" g* Z. L7 @, A
,88,windowshelpkw.chm,17,0,32
& {% F# a7 o8 U5 D, u5 M# t( n' N9 N9 y,89,windowsHNCLIB**Word.lib,29,0,32
! W# \2 W+ P. D( e,90,windowsimage.dat,9,0,328 B3 m# E6 k* W* f+ d8 S# A
,91,windowsimage1.dat,1,0,32! }9 M/ {& w* C
,92,windowsCardLib.dll,9,0,32
' Y% B2 o3 m0 K8 X,93,windowscximage.dll,9,0,32
! @3 V, p# K% L/ K,94,windowsdbfilter.dll,9,0,32* R! i$ q" t/ @! C7 K; G
,95,windowsSurfgd.dll,29,0,32+ Z I! z" s$ O' _. ^+ h
,96,windowsdbServ.dll,29,0,32
: s: ?* ?6 f8 w D,97,windowsCImage.dll,29,0,32& x! Y% c. s. @& |1 T3 P$ U8 u. |
,98,windowsHandler.dll,29,0,328 G w: j1 {& i! r* n5 M% V
,99,windowsHASrv.dll,29,0,32, ]' l( i& C" f' Q3 H4 B
,100,windowsHncEng.exe,29,0,32
" t4 u7 d' ]; v3 t3 J! R,101,windowsHncEngPS.dll,29,0,32
9 c2 j; t$ L+ N2 f. E,102,windowsInjLib32.dll,29,0,32
1 B7 ~) S r: L3 I5 G. o0 Z. v,103,windowsMPSvcDll.dll,29,0,32
2 C2 _- g# l/ L) _) y,104,windowsMPSvcPS.dll,29,0,323 G; x4 Z! U! c. @+ U
,105,windowsSentenceObj.dll,29,0,32. N( o- R; a, E. {: A# [
,106,windowsMPSvcC.exe,29,0,32
" e& q& L; o& m& |& P# Z,107,windowsvnew.bmp,29,0,328 U9 m. U/ T2 B; ~( I: O" _0 }$ I8 X7 D
,108,windowsxstring.s2g,29,0,32
C) e$ y7 F6 M! _8 Z6 J8 ?,109,windowskwselectinfopp.dll,5,0,324 Y" p4 V1 A7 }. V, N. `0 v1 b) t
,110,windowskwimage.dll,29,0,32$ }3 Y& {, `/ ?2 S0 o: N- [* s/ p
; x8 i8 E- n' x; c) o7 ^安装结束时在注册表 HKLMSOFTWAREMicrosoft 下写入 xnet2键值。并运行 system32xnet2.exe 由该程序负责自启动项和服务等的添加工作。+ _, k1 V! M* [3 u
, B" s6 s- O. U9 v" t
接下来我们再看看绿坝都做了什么。
1 H1 z3 C3 q" A k$ H
4 X( s7 F" W; W安装绿X之后将会有四个进程和一个驱动被调入内存。
! Z! d$ J1 s" f5 }system32XDaemon.exe守护进程,与Xnet2.exe实现交叉保护
5 q' i3 u' G" Y2 x t# Y0 D1 L9 l
, b9 ]" c$ p1 t7 esystem32XNet2.exe绿坝的主程序,运行后将会启用两个线程分别监听udp 1234和1204端口:4 P6 V- V% v! e* t+ D! Y
7 |5 z6 z+ U+ t' P" H: d) ~1 O
windowsHncEng.exe
/ ^* W5 ]5 Z1 C* K) Y服务进程) q3 i* q7 ~- L8 O+ r/ U; K
windowsMPSvcC.exe
4 L; ^: V; O& g2 l: s( Z
- H2 t& g3 p3 w* G( y& I- c看着很像微点,但是这是假象,其实它也是绿X的服务进程。
5 u4 K, a" u: }- K1 h# d: p% u1 |" M# e; y# u! Y4 w+ Y
Driversmgtaki.sys% [8 [9 O h' [0 p" O9 u
安装完成后被写入的驱动文件,目的不明。: u3 P7 ^6 |0 }. I/ }/ A
软件卸载时也不会被移除。
0 V- L$ x' M, l. z$ h4 O* w5 o1 v6 y# z
# e6 C% ~* {# M8 |
' K/ D r4 l; t) i7 h绿X运行过程中会定时向
; h% S9 R0 z% V3 N* k7 C8 W进行被过滤黑名单的更新。同时会另外启用两个xnet2.exe线程,与211.161.1.134 和 203.171.236.231进行通讯,后者ip为 河南郑州景安计算机网络 ,前者是北京 长宽的一个ip,具体来源不明。6 h1 E3 G* c9 S( z3 ]$ ?9 I
, b- g- `$ s# w: e2 N g6 \" U8 ^
大家都知道绿X在运行过程中会记录网站的访问和每隔三分钟对系统进行一次截屏,虽然官方信誓旦旦宣称不会泄露用户信息,但是很难保证在这些行为不明的监听和通讯中,不会把这些内容给发送出去。
( ]& C; X( U' v( W8 C- ?! m- I9 w4 r/ Z, `% L9 T* \0 @' m2 V
更可疑的是,在xnet2.exe的语言文件xnet2_lang.ini中有这么一行
, I* M! | k, o2 G+ \$ {) f& ~. L1 S$ {+ Z. I
- Show quoted text -
5 d6 o \5 ^, \7 }AOption0_1117=发现不良网站自动向金惠公司报告。
. g+ U4 \8 G0 g7 W" v' ^4 i, _ A( t4 e- n- o' R" @
而且从网上高手对其进行逆向工程,而得来的数据来看,该软件并不像它自己说宣称的那样,只是对web访问进行监控,其进行监控的软件包括却不仅仅限于以下几十种:6 w! l+ p; [1 }9 R1 b8 w
wow.exe: K; m/ e9 x; f% c) F4 A7 A
yahoomessenger.exe
% Y0 b. \. s8 R, O; G8 uwangwang.exe: C: ?8 ^8 q2 _* P1 ~
start.exe; r5 ~; x* ]1 l1 O! Y' h
uc.exe. y9 T* u& N2 |" W& D9 r( m
icq.exe
, |% l2 L6 f5 r6 s5 hskype.exe
5 i+ r( O) E6 |9 Peph.exe
2 t: L8 ]3 l$ y3 C; ^sgr.exe6 b6 a3 @: ~* B
qqgame.exe' }% D9 g8 p1 E- z
qqchat.exe
6 G2 s* U$ K, `qq.exe
5 h6 [6 x! H) x+ o2 x: ^bitbomet.exe
, L: Y! ^; y6 |3 B0 Q- jeditplus.exe
: T. n/ L& l+ a5 muedit32.exe
9 ~- m* H# I. c0 n Jemeditor.exe. ^ l% f3 D" P3 z
wordpad.exe E$ l9 H& c8 s: z! T
notepad.exe
1 W1 P4 n& X; |$ d2 x9 ywps.exe7 ^; E6 r$ h) [' w+ j6 K, t
wpp.exe. t- f8 j. S# Y! J! t* I2 G! A
et.exe
; d8 f. q( E$ c' ^8 F mpowerpnt.exe5 z1 V/ S+ V1 `/ z+ g
frontpg.exe
, ^ ?4 |: M6 Texcel.exe
, B* f4 m# O! e Y1 qmsaccess.exe9 w( ~1 S% d* C8 p
outlook.exe. X3 c$ `+ L+ f8 M. u1 t
winword.exe
6 W6 d! H! m% ~2 E2 [) q8 Zmailmagic.exe, Z4 s0 y6 \! T# h8 f5 I
popo.exe
" l3 K' g( x' \4 O, _7 Lqqmail.exe# M1 M' v* a {; b
aixmail.exe- b* I/ J5 U" r% }& s7 U
imapp.exe6 \2 z/ B4 b/ E6 @
incmail.exe2 d3 \6 t$ I j" ?
msimn.exe
. Z8 L0 j: _3 |dm2005.exe
7 A" d+ Z. C+ t: I# qfoxmail.exe% U3 f$ A! y$ a4 {4 K, B( i0 ^
googletalk.exe x8 I! [0 A! [' ]& N0 |% l r) v
miranda32.exe
! |* l% f6 J3 F: Z, M" w8 G8 bimu.exe p* i: l' V2 K* k/ X
ypager.exe
; E" w0 n0 z8 U o1 g$ {tmshell.exe
. ]* o n( y9 X8 ]start.exe
4 l' ~/ n& E# G" duc.exe
2 N5 _7 B- m3 X6 micqchatrobot.exe0 _6 u) [; B! }/ W
qq.exe
1 L* h; C2 }1 q1 Hmsnmsgr.exe6 a$ A( l7 l% J6 N3 r H8 y0 V
gsfbwsr.exe# {$ M6 M7 X( z! h' d
greenbrowser.exe
1 {" \' ~: G$ y$ @, [( F4 G! ytouchnet.exe
# ?- J/ X6 y1 ?+ ntheworld.exe& `5 R x( ^! c/ {
maxthon.exe
6 L: x! K4 ?4 q+ o: t8 Wttraveler.exe
6 H# f1 u! J: H& a: Lnetscp.exe) E3 K. q/ m) A& r0 I r
ge.exe" F6 c% s, L+ E6 Z" G# z
firefox.exe6 y# {8 V0 \" j& m( F
opera.exe# T* r e$ R+ p7 z3 Q: |
netcaptor.exe
2 Q L. l( U, ~3 ?) B |myie.exe" S" N5 b5 ], y% S Q- {1 E) I; X
iexplore.exe
) C% Z& S; |* u2 ^: V7 }mmc.exe( C# E" M$ U2 d5 u2 M3 A5 ~+ v( I
regedit.exe/ w+ o# r+ e3 R7 K
taskmgr.exe* ]. O; V! _6 U' i7 o/ r$ W4 a
mpsvcc.exe" b# b+ h- m y
xdaemon.exe
' Q6 R6 \5 L1 s1 a, Z7 H8 U! ~xnet2.exe* e. B" B( s8 g- X* m0 n5 Q
(以上信息来自SoFuc.Com所进行的逆向)! U9 t6 n4 ^$ c5 J1 j: j, V$ O: f3 Z
* F: j+ d, a3 p
绿X还对ie浏览器进程注入dll,以至于被360当成恶意插件报毒。* Y: m# d* A1 u* C% ~
7 S% Q ]8 X6 U: \) }. t
该软件在监控时将发起大量的全局钩子,也就是说,只要它想,我们所看的网页,和别人聊天的内容,下载的东西,网购的物品,信箱里的邮件,游戏的帐号,设置与编写的文档,做的ppt都可以被它轻易搞到手。又有谁可能保证,它没有在这样做呢?
$ J4 a& G" j8 {- Y; L0 G) M) H+ l; G$ P3 h: p! F$ |7 I1 l
除此之外,该软件还做了一些不能见光的手脚。它的端口配置文件filtport.dat定义了如下内容:
, H+ X# ^& ?: f" z5 o7 \0 Z# z
. V, z! H/ o2 M0 M' U FreeGate/8567/tcp Urf/9666/tcp 这个文件的作用很明显,屏蔽常见的代理软件FreeGate。在未来的更新中它更是可以在其中加入3128 1080 8080之类的端口 来禁止我们使用代理服务器。具体目的不言而喻。* h/ W1 W0 S8 Y9 R8 r9 o, q, D8 K5 l' q
0 y4 f& H7 _0 b4 d: G( X
) U _. U( v* r4 O5 d2 K4 `* D3 U 如此强悍的设计,那我们这套价值4000万的软件就真的如此物超所值了吗?
& ?: K$ N6 u! C8 q, h; f4 r8 k V. i1 O4 e) h: {) q: k
实际上并非如此。由于先天的技术缺陷和粗制滥造,使得软件存在许多脑残问题。譬如,绿X并不像它所宣称的那样,对全系列Windows都能够完美支持。在XP以下系统漏洞百出,尤其是IE版本低下时,更是充当了“摆设”的作用。5 Y1 H7 @# n7 \: g% R# B+ |# e1 A5 x! F
% H+ m$ S) J# h7 o 而在Vista下经常完美的被用户账户控制干掉,且十分不稳定。
7 I- j* u% A9 O* w" r( w5 r即使在状态最佳的XP下,也有让人跌破眼镜的表现。网站过滤功能,居然只能在IE下生效,即使是同属IE内核的遨游之流都能时常时它失效。用火狐,谷歌这类非IE内核浏览器时,更是一点反映都没有。绿X,色情网站和平共处,甚是和谐。; S% E0 k: I% ` ^/ E
4 {( O# y/ t4 T1 a
那么作为一款过滤软件,自身保护能力应该很强吧?绿X的答案是不,这让我们再一次跌破另一副眼镜。它的四个进程除了以两个为一组,有交互保护(当其中一个被结束,另一个将会重新运行它)之外,其他可以说是一点防护都没有。就不要说用冰剑之类的工具,就连常见的文件粉碎机就可以将其置于死地。2 m" W7 F( {7 t8 ?" C; g
! J/ n* y( O$ X+ X- F3 h9 Z
+ _9 k) y: q+ \ 更可笑的,它的程序员们还犯了一个更加低级的错误。绿X的管理密码,通过类似于MD5的加密之后,储存在WINDOWSsystem32kwpwf.dll文件中,搞笑的是该文件并没有收到任何程序的保护,单凭一记事本就可以大改其中内容。我们只要把知道密码的绿坝的WINDOWSsystem32kwpwf.dll文件中的内容复制到不知道密码的那个绿X的WINDOWSsystem32kwpwf.dll下,就相当于改变其密码了。也就是说,我们只要把WINDOWSsystem32kwpwf.dll的内容改为“D0970714757783E6CF17B26FB8E2298F”,那么绿X的管理密码就变回了默认的112233。( S/ d/ Y5 o! h
) r: _6 x9 t2 D9 c0 j! A9 L6 t7 D1 O- r8 i
这软件的设计者是猪啊,4000多万,都够开发一套小型的OS的成本了,确换来如此粗制滥造,设计低劣的软件的仅仅一年的使用权?合法招标?潜规则所花费的金额如果不占这笔巨款的一半都不会有人信。+ S, g5 B( ]$ [5 M2 ^3 l& I" j
. @% [" a1 G8 T1 ]6 i
最后我们来试着通过绿X所提供的卸载途径卸载了它,看看这号称可以自由装卸,自由停用的软件是什么一副流氓嘴脸。; U& ^6 Y+ x" p1 D) o8 Z
0 _ p& K" g& p6 ?' x2 K5 ^9 }5 }1 e7 k
绿X在正常安装之后开始菜单中并不会创建其卸载程序的快捷方式,甚至于添加删除程序中都没有相关内容。那卸载项藏在哪儿呢?答案在绿X的设置中。然而即使我们使用它所提供的卸载功能对其进行卸载之后,文章一开始所提到的110个文件还会有多一半存在于我们的系统中,纹丝不动。重启之后其监控程序甚至还会大摇大摆的出现在我们的进程当中,不过这次不再提供管理面板就是了。
1 \1 ?* Y) V1 c- F& C& m
8 E& t3 N: p a1 z: ] 未经用户同意强制安装(强行预装),通过其卸载程序无法将其完整移除这是判断流氓软件的两条准则,而这个绿坝完美得全部符合。它的存在真的是为了保护未成人收到色情网站的毒害吗?未必,监视大量应用程序,定时对系统进行截图,对代理软件进行**,然后将用户电脑中的各种资料秘密传往某处。 |
|
IP卡
狗仔卡
发表于 2009-6-15 11:39
微信
收藏
分享
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
...内幕啊!!!且看绿坝怎样下得了台
